Spyware Pegasus: sua criptografia é segura?

08/03/2021 | UlTIMOS BLOGS

• 

O artigo a seguir resume o blog técnico recentemente publicado pela Donjon Ledger equipe. Você pode clicar SUA PARTICIPAÇÃO FAZ A DIFERENÇA ler .

Os programas de software desenvolvidos para hackear nossos dispositivos pessoais estão ficando cada vez mais sofisticados. O Escândalo de spyware Pegasus destaca a ameaça que este software representa para nossa tecnologia e informações. 

O spyware também ganhou a atenção da indústria de criptografia, à medida que um número crescente de usuários e investidores depende de carteiras de software executadas em computadores e smartphones inseguros. Web3 ativos digitais, como Bitcoin ou Ethereum, não devem ser armazenados em dispositivos Web2 (laptops e smartphones). Este artigo explica por quê.

Proliferam-se spywares de “dias zero” e “cliques zero”

Em 2020, repórteres investigativos revelaram que dezenas de milhares de cidadãos, ativistas e líderes políticos foram alvos de clientes do fabricante de spyware, o Grupo NSO. Recentemente, o spyware tornou-se um verdadeiro escândalo diplomático com a revelação de que 14 chefes de Estado e de governo eram ex-alvos, incluindo o presidente Macron da França e o rei Mohammed V do Marrocos. O spyware forneceu acesso total aos smartphones.

Como esse spyware se tornou uma ferramenta de vigilância tão insidiosa? Simplesmente porque de uma mistura de recursos de “dia zero” e “clique zero”. Mas o que isso significa exatamente? 

Um ataque de “dia zero” ocorre quando os hackers exploram uma vulnerabilidade em um aplicativo ou dispositivo desconhecido para o fornecedor do software alvo. No caso do spyware Pegasus, os pontos de entrada são aplicativos de mensagens (iMessage, WhatsApp, SMS ...). 

Por outro lado, um ataque de “clique zero” explora vulnerabilidades sem exigir que um alvo clique em qualquer lugar. Essas vulnerabilidades deram ao invasor acesso quase completo aos dispositivos visados ​​e seus dados: câmera, microfone, geolocalização, imagens, conversas, etc. 

Um “ataque zero-day zero-click” é uma combinação dos dois acima. Preocupado, ainda?

Esses ataques também prejudicam seus ativos digitais 

Infelizmente, "dia zero"E"Zero-click”Os ataques não se limitam ao spyware Pegasus. Se você pensava que suas carteiras de software eram inerentemente seguras, pense novamente. Os vídeos a seguir mostram como nossa equipe Ledger Donjon foi capaz de hackear smartphones e acessar as frases-semente de MetaMask, Coinbase e Blockchain.com carteiras de software.

O próximo vídeo simula um malware que rouba a senha do usuário inserida pela vítima. Em seguida, ele é usado para descriptografar os dados da carteira Electrum e exibir a semente.

O vídeo a seguir destaca malware disfarçado como um widget de ticker Bitcoin falso. O malware explora a vulnerabilidade de um dispositivo para exfiltrar a semente criptografada para um servidor remoto. O servidor então força bruta a senha para descriptografar a semente: 

O próximo vídeo mostra um processo equivalente com uma carteira Coinbase:

Este último vídeo demonstra spyware visando uma carteira Blockchain.com. Depois que o usuário se autentica usando a impressão digital da vítima, a chave de criptografia é desbloqueada e os dados da carteira são descriptografados: 

No geral, o processo é bastante simples. O hacker envia uma mensagem sem que você seja notificado. A mensagem explora uma vulnerabilidade que permite que os invasores espionem seu aplicativo e exfiltrem sua frase-semente pela Internet. O hacker então envia a semente de volta para seu próprio computador. Nenhum clique é necessário e é um exploit malicioso, para dizer o mínimo. 

Quanto à sua criptografia? Perdido.

A lição é clara: não coloque seus ativos digitais Web3 em dispositivos Web2, como laptops e smartphones! Eles não são seguros por design, o que significa que são executados em programas de software (iOS ou Android) que não permitem que você deixe seus pertences em um enclave seguro. 

Por que a segurança na criptografia precisa ser baseada em hardware?

O universo criptográfico está cheio de tesouros, mas a aventura de alguém SEMPRE deve ser segura. Veja por que nossas carteiras de hardware, Ledger Nano S e Nano X, são as soluções de armazenamento mais seguras para seus ativos digitais:

• Primeiro, eles protegem você contra malware, por design. Nossas carteiras de hardware são dispositivos independentes que assinam transações por conta própria. Os materiais criptográficos das chaves privadas sempre ficam dentro do dispositivo. Eles nunca são enviados para o aplicativo com o qual se comunicam. Portanto, suas chaves são mantidas offline, onde o malware não pode acessá-las. 

• Em segundo lugar, nossos dispositivos incorporam uma tela que permite verificar suas ações ao interagir com suas chaves secretas. Quando você faz transações em um telefone celular ou computador desktop, o malware pode acessar suas informações ou até mesmo trocar / modificar seus endereços. Nossas autenticações no dispositivo são contramedidas muito eficientes.

Chaves offline e autenticações no dispositivo são ferramentas críticas para proteger totalmente os ativos digitais em dispositivos de hardware. 

Conclusão:

À medida que as criptomoedas se tornam mais comuns, os ataques contra as carteiras, infelizmente, se tornam cada vez mais sofisticados. Na Ledger, nosso objetivo é trazer a você a experiência mais segura ao gerenciar seus ativos digitais.

Fonte: https://www.ledger.com/blog/pegasus-spyware-is-your-crypto-safe